はじめに
このドキュメントでは、ハイアベイラビリティ(HA)でFirewall Management Center(FMC)の環境をアップグレードする手順について説明します。
要件
次の項目に関する知識があることを推奨しています。
使用するコンポーネント
このドキュメントの情報は、次のハードウェアに基づくものです。
- Virtual Firewall Management Center(FMC)、バージョン7.1.0
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
概要
アップグレードは、一度に1つのピアにする必要があります。まず、ピア間の同期を一時停止します。
次に、まずスタンバイモードでアップグレードを行い、その後にアクティブFMCを行う必要があります。
警告:スタンバイピアが事前チェックやインストールの作業を行っている間に、両方のピアがアクティブに切り替わります。これはスプリットブレインと呼ばれます。アップグレード中は完全に正常な状態です。この間は、設定変更を行ったり、導入したりしないでください。設定変更を行うと、同期の再起動後に失われる可能性があります。
アップグレード前
- アップグレードパスの計画
FMCの導入では、通常はFMCをアップグレードしてから、その管理対象デバイスをアップグレードします。
実行したアップグレードと次に実行するアップグレードを常に把握します。
- すべてのアップグレードガイドラインを読み、設定変更を計画します。
- 帯域幅を確認します。
大規模なデータ転送を実行するための帯域幅が管理ネットワークにあることを確認します。
- メンテナンスウィンドウをスケジュールします。
- アップグレードの前後に設定をバックアップします。
[システム] > [バックアップ/復元] > [Firepower Managementバックアップ]
バックアップをローカルマシンにダウンロードします。
- 仮想ホスティングのアップグレードこれは、古いバージョンのVMwareを実行している場合に必要です。
- 設定の確認
- NTP同期の確認
- FMC:System > Configuration > Timeの順に選択します。
- デバイス:show time CLIコマンドを使用します。
- ディスクスペースを確認します。
- 設定を導入します。FMCハイアベイラビリティ展開では、アクティブピアから展開する必要があるだけです。
- 実行中のタスクを確認します。保留中の展開がないことを確認します。
アップグレード手順
ステップ 1:同期の一時停止
アクティブピアのFMCでHigh Availabilityタブに移動します
- Pause Synchronizationを選択します。
- 同期が一時停止されるのを待ちます。完了したら、ユーザーがステータスを一時停止する必要があります。
同期の状態はユーザーごとに一時停止する必要があります
ステップ 2:アップグレードパッケージのアップロード
スタンバイユニットにログインし、アップグレードパッケージをアップロードします
- [システム] > [更新] > [更新のアップロード]
- アップグレードするバージョンの以前にダウンロードしたパッケージを参照します。
ステップ 3:準備状況の確認
アップグレードするアプライアンスで準備状況チェックを実行します。
- 該当するアップグレードパッケージの横にあるインストールアイコンをクリックします。
- 確認するアプライアンスを選択し、[準備状況の確認]をクリックします
進行状況はメッセージセンターで確認できます
メッセージ>タスク>実行中
完了すると、Readiness Check Resultsでステータスを確認できます。
成功した場合は、パッケージのインストールを続行できます。
ステップ 4:アップグレードパッケージのインストール
- アップグレードするアプライアンスを選択します。Installをクリックします。
- 分割された脳に対する警告で、[OK]をクリックします
進捗状況はMessages > Tasksで確認できます。
注:インストールが完了するまで約30分かかります。
CLIにアクセスできる場合は、アップグレードフォルダ/var/log/sfで進行状況を確認できます。エキスパートモードに移行し、rootアクセスを入力します
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# cd /var/log/sf/
root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start AQ_UUID DBCheck.log exception.log flags.conf main_upgrade_script.log status.log status.log.202307180405 upgrade_readiness upgrade_status.json upgrade_status.log upgrade_version_build
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log
アップグレードが完了すると、FMCがリブートします
ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.
Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):
System will reboot now due to system upgrade.
ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):
The system is going down for reboot NOW!
リブート後、物理FMCのFMC GUI > Help > Aboutに正しいモデルが表示される必要があります。
CLI、EULAに同意した後
Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)
>
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
UUID : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version : 2023-01-09-001-vrt
LSP version : lsp-rel-20220511-1540
VDB version : 353
----------------------------------------------------
スタンバイFMCのみがアップグレードされる場合のHAの概要
ステップ 5:アクティブピアのアップグレード
アクティブアプライアンスで手順2 ~ 4を繰り返します。
手順 6:要求FMCをアクティブにします
[統合]>[高可用性]>[Make Me Active]オプション
- プロセスに関する警告とスタンバイピアで行われた設定の上書き。続行するにはYESを選択します。
- 同期が再開され、他のFMCがスタンバイモードに切り替わるまで待ちます。
両方のFMCが同じバージョンにあり、同期が完了すると、HA Summaryタブは次のようになります。
警告:最終同期のステータスが「degraded」または「OK」以外になっている場合は、TACにお問い合わせください
保留中の変更をFMCから展開します。